Internet élmény régen - és most
Néhány évvel ezelőtt, amikor az Internet még elsősorban akadémiai
hálózat volt, még a technikai csodáknál, az információk gazdagságánál is
nagyobb élmény volt sokunk számára az a segítőkész, önzetlen szellem, az a
lelkes, önkéntes tevékenység amivel találkoztunk. A sok-sok hálózatra
kapcsolt intézmény munkatársa egyetlen családot alkotott. Olyan programok,
protokollok készültek amik ezt a kapcsolatot erősíthették. Ilyen a 'talk'
vagy a 'finger'. Ma a legtöbb helyen ezek a szolgáltatások tiltva, vagy
szűrve vannak: a rendszergazdák, felhasználók félnek - joggal -, az
illetéktelen betolakodóktól.
A 'klasszikus' modell szerint az Internetre kapcsolt gépek bármelyikével kommunikálhatunk. Éppen az a törekvés volt jellemző, hogy különböző gyártmányú, és operációs rendszerű gépek minél könnyebben tudjanak kommunikálni.
Ma a betöréstől, a visszaéléstől való félelem
arra készteti a rendszergazdákat, hogy korlátozzák a helyi hálózathoz,
gépekhez való hozzáférést. Sokszor tűzfal mögé dugják a gépeiket,
megszűntetnek, korlátoznak szolgáltatásokat.
Tendenciák
Nem csak szerver gépek fenyegetettek;
Az első imposztorok a hálózaton nagytudású, invenciózus fiatalemberek voltak,
akik szervergépek hálózati szolgáltatásait támadták. Meg akarták
képességeiket mutatni a távoli renszergazdának, a világnak. Ma a hálózati
betörések legnagyobb részét olyanok követik el, akik nem is igen értenek a
számítástechnikához. Legtöbbjük vélhetőleg zavarba jönne, ha meg kellene
magyaráznia a különbséget mondjuk a 'big endian' és 'little endian' vagy a
TCP és UDP között. Másrészt a támadások sem feltétlenül nagy szervergépek
ellen irányulnak. Egyre több a támadás az egyfelhasználós PC-k ellen is.
A veszélyességet mindkét jelenség növeli. A hozzá nem értő betörő játéknak
fogja fel tevékenységét, és tudatlanságból az akaratnál nagyobb kárt
okozhat. Szerverek gazdái pedig több lehetőséggel, nagyobb tudással,
tapasztalattal és elszántsággal védekezhetnek mint a 'mezei' felhasználók.
nem csak hozzáértők támadnak
Egy példa a 'mezei' felhasználóra leselkedő veszélyre:
Frame spoofing
Web böngészés közben sokszor a szerverek kisebb keretekben,
(frame) tálalják az információt. Ezek az ablakok aztán többé kevésbé önálló
életet élhetnek. Egy több keretre osztott lap minden része általában
ugyanarról a szerverről származik, de az is lehet, hogy különböző keretek
tartalma különböző szerverekről. Sőt! Lehet, hogy egy korábban látogatott lap
rosszindulatú szerzője felülír egy később kiírt keretet, és azt a hatást
kelti, mintha a keret tartalma nem tőle származna! Ilyen módon hiheti a
gyanútlan felhasználó pl. azt, hogy egy web-es áruház lapján titkosítottan
küldi a bankkártya számát, valójában pedig illetéktelenek kezébe juttatja.
Bővebben pl.: http://www.securexpert.com/framespoof/index.html
Egy példa a hálózati analfabéták által is hatásosan kezelhető betörési eszközre:
BO
Egy hálózatba kötött felhasználói PC általában nem nyújt a 'világnak'
semmilyen szolgáltatást. Az 'klasszikus' internet modell szerint azonban
ennek semmi akadálya: a földgolyó két távoli pontján levő programozók
megállapodhatnak abban, hogy valamilyen új szolgáltatást próbálnak ki
mondjuk az 10984-es TCP porton kommunikálva. Ezzel a lehetőséggel éltek
vissza a Back Orifice nevű eszköz készítői. Ez egy olyan vírus, ami a fertőzött
Windows 95 vagy 98 rendszerben 'szolgáltatást' nyújt az Internet távoli
gépei számára: a fertőzött PC-t a megfelelő UDP porton át vezérelni lehet:
tetszőleges fájlt lehet írni/olvasni alkalmazásokat elindítani/leállítani
stb. A dolog azért is igen veszélyes, mert tartozik hozzá egy sor 'kliens
alkalmazás'. Ezek egérrel vezérelhető programok, amik felderítik egy-egy
távoli hálózat fertőzött gépeit, és könnyen kezelhető eszközt adnak arra,
hogy a fertőzött gépen tevékenykedjen olyan illetéktelen, aki különben alig
ért valamit a számítástechnikához!
Bencsáth Boldizsár ennek a témának szentel egy lapot magyarul:
http://budapest.hu/~boldi/bo/
A Netbus egy BO-hoz hasonló trójai faló, de ez NT szerverekre veszélyes.
Erről is olvashatunk itt: http://www.iss.net/xforce/alerts/advise8.html
DoS támadások: bénítás, rombolás
A rosszindulatú tevékenység célja ma egyre többször nem éppen az, hogy a
támadott gépről illetéktelenül adatokhoz, szolgáltatásokhoz férjenek hozzá,
hanem csak annyi, hogy mások számára ezt lehetetlenné tegyék. Ezek a DoS
(Denial of Service) támadások.
Smurf
A smurf egy hálózati szintű támadás, ami szintén azt használja ki, hogy a
'klasszikus' internet modell megalkotásánál jóindulatú tevékenységet
tételeztek fel a hálózati szereplőkről. A visszaélés során három hálózat
kap szerepet. A támadó egy közbülső hálózatot címez meg egy hamísított IP
címmel. Ez a közbülső hálózat azután hatalmas mennyiségű csomagot zúdit
annak az egy gépnek az irányába, aminek az IP címét az imposztor
hamisította. Ezzel sokszor lehetetlenné teszi nem csak a támadott gép
működését, hanem használhatatlanságig 'teletömi' a támadott hálózathoz
vezető kommunikációs vonalakat.
Bővebben pl.: http://www.netscan.org
Csalódások biztosnak hitt eszközökben
A hétköznapi életből ismert tapasztalat, hogy sokkal nagyobb lehet a baj akkor, ha hamisan biztonságban érezzük magunkat, (mert például egy korhadt korlátra támaszkodunk a kilátóban), mintha tudjuk, hogy nagyon kell vigyáznunk, mert nincs ami véd (nincs korlát a előttünk). A hálózaton sajnos, gyakori az ilyen önáltatás.
Firewall, titkos hátsó ajtóval
Volt, aki sok pénzt költött egy hálózati firewall-ra, és azt hitte, teljes
biztonságban van. A firewall úgy volt konfigurálva, hogy a hálózatba nem
engedett meg távoli bejelentkezést. Kiderült, hogy a program készítői -
hogy a távoli karbantartást, diagnosztikai munkát lehetővé tegyék -, egy
dokumentálatlan kiskaput hagytak a rendszeren: telnettel el lehetett érni
a firewall-t. A telnetnél használt jelszó kódolatlan, sima szövegként
utazott a hálózaton. Ilyen esetről lehet olvasni Marcus Ranum kitűnő
firewall tesztelésről szóló írásában: http://www.clark.net/pub/mjr/pubs/fwtest/index.htm Olyan irodaházhoz hasonlít ez, ahol az épületbe
nehéz ugyan bemenni, kivéve az őrző személyzet helyiségeit, amik
tárva-nyitva állnak.
Kijátszható biztonságosnak hitt bejárat
A telefonos hálózati bejárás biztonságosabbá tételére való a CHAP
protokoll, ami a telefonvonalon való lehallgatás ellen is védi a
bejelentkezést. A CHAP egy bizonyos változata azonban lehetővé tette,
hogy még jelszó lehallgatás nélkül is bejuthassanak illetéktelenek.
Bővebben pl.: http://ciac.llnl.gov/ciac/bulletins/i-002a.shtml
Hiba a titkosított tranzakciók részére kitalált szabványban
A titkosított tranzakciók biztonságos hálózaton való lebonyolítására
fejlesztették ki a PKCS (Public-Key
Cryptography Standard) protokollt. Kiderült, hogy
hibás, visszaélésre ad módot. Éppen a legkényesebb adatok dekódolására van lehetőség bizonyos esetekben.
Bővebben: http://www.cert.org/advisories/CA-98.07.PKCS.html
Web kliens által futtatott programok
A web böngésző programok egyre-másra nyújtják a programozás lehetőségét a
szerverek gazdáinak: Java, Javascript, Active X, VBScript stb. A készítők
szándéka szerint ezekkel úgy lehet a kliens gépen a szerver
gépről letöltött programot futtatni, hogy közben a kliensen nem keletkezhet
kár, a kliensről nem kerülhetnek illetéktelen kezekbe adatok. A tapasztalat
azonban azt mutatja, hogy sok esetben hiba csúszik éppen a legkényesebb
helyeken a programba. Külön veszélyt jelent, hogy nem csak a programon,
hanem az általa használt rendszerszolgáltatásokon, programkönyvtárakon is
múlik a biztonság. Ezért aztán lehet, hogy a hibáról nem is a program, vagy
eszköz írója tehet...
Bővebben pl.: http://www.netscape.com/products/security/resources/bugs/injection.html
Trójai faló a login programban
A Unix egyik atyja Ken Thompson. Többek közt az ő munkája az első unixonkon
használt C fordító. Kiderült, hogy a fordító programban volt egy
dokumentálatlan 'fícsör'. Észrevette, ha a 'login' programot fordította, és
ebben az esetben kicsit másképp viselkedett: minden ilyen fordítóval
fordított 'login' program olyan volt, hogy lehetővé tette a rendszerbe
való bejutást egy 'szuper jelszóval'. Ennek hasznát vehették a kezdeti
időkben, amikor gyors beavatkozásra volt szükség és gyakorlatilag egy
baráti kör használta ezeket a rendszereket, közös kutatás/fejlesztés
céljából. Figyelemre méltó azonban, hogy ez a tulajdonság még sokáig része
maradt a unixoknak, és hogy évek teltek el, míg nyilvánosságra került.
Senki nem tudja, hogy a most használt sokkal nagyobb, bonyolultabb
rendszerek hány ilyen dokumentálatlan kiskaput tartalmaznak. Soknál esély
is alig van az ilyenek megtalálására, mivel ezek jelentős része nem áll
forráskódban rendelkezésre.
Bővebben:
Thompson, Ken, Reflections on Trusting Trust,
Volume 27, Number
8,
Communications of the ACM, August 1984.
Feltörhető DES
Elterjedt eszköz elektronikus adatok titkosítására a DES nevű szimmertrikus
kulcsú algoritmus. Az USA-ban az 56 bit kulcshosszúságú DES
használatos. Ennek exportja tiltott, csak a gyengébb, 40 bites DES kivitele
megengedett az amerikai törvények szerint. Sokan gondolják, hogy talán
azért, mert a 40 bites könnyen feltörhető, az 56 bites viszont biztonságos.
A valóság az, hogy az 56 bites DES sem biztonságos. 1998-ban az EFF
(Electronic Frontier Foundation) nem is túl drágán épített egy olyan
számítógépet, ami 56 óra alatt feltörte a 'DES Challange' pályázat
titkosított üzenetét. 1999 január 18-án az újabb pályázaton az üzenet
feltöréséhez már csak 22 órára volt szükség! Elkorhadt korlátra támaszkodik
mindenki, aki az 56 bites DES-sel kódolt információk tikosságában bízik!
Bővebben pl: http://www.distributed.net/des/
Elektronikus adatgyűjtés
Veszély fenyeget a hálózaton nem csak a hálózati betörések által. Több
millió e-mail címet gyűjtöttek be az Interneten azzal a céllal, hogy
kéretlen reklámlevelekkel árasszák el a gyanútlan felhasználók
postafiókjait. Vannak akik ilyen címgyűjteményeket árulnak. A kéretlen
levelek, a SPAM az egyik legnagyobb probléma a mai Interneten. Ha nem
teszünk semmi ellene, akkor az internetes kommunikáció létét fenyegeti. Már
így is vannak, akik inkább lemondtak a hálózat használatáról.
Megjelentek az interneten magánnyomozók, akik bárkiről összegyűjtenek a hálózat segítségével adatokat. Elképesztő, hogy mi mindent lehet megtundni rólunk pusztán az Interneten nyilvánosságra kerülő információk alapján. Hátha még hozzászámítjuk, hogy a vonalak forgalma, a levelezés lehallgatható!
Az Interneten kívül is számos mód van arra, hogy magánszemélyekről elektronikus formában adatokat gyűjtsenek. Kamerák figyelnek minket a köztereken, áruházakban és másutt. Kártyákat használunk, amiken elektronikusan tárolva van sokszor nem csak a nevünk, hanem sok más adatunk is. Az írható elektronikus kártyák arra is módot adnak, hogy rögzítsék rajtuk pl. az utolsó vásárlások összegét, helyét stb.
Nem nehéz megoldani, hogy ilyen adatokat nagy mennyiségben feldolgozzanak, értékeljenek. Valójában hasonlót csinálnak a közvéleménykutató intézetek, a nagy vállalatok marketing osztályai, tömegkommunikációs eszközök munkatársai. Ilyen kutatások alapján készítik a reklámkampányokat, és tervezhető a mozilátogatások, vagy az üdülési szokások görbéje éppen úgy, ahogy egy gyümölcsösben tervezhető, kiszámítható a vegyianyagok felhasználásának függvényében az almamolyok rajzása. Biztos, hogy van olyan szempont ami szerint nincs is lényeges különbség: költség, haszon, hatékonyság. Kell azonban, hogy valahol megálljt mondjunk az ilyen tendenciáknak, és szükséges, hogy az egyének legalább halványan tisztában legyenek azzal, hogy milyen veszélyek rejlenek az állampolgárokról szóló elektronikus adatok gyűjtéséban. Hibás az a gondolkodás, mely kézlegyintéssel elintézi a dolgot ilyenformán: bízunk, bízhatunk azokban, akiknek módjában lenne ezen adatokkal visszaélni. Nem lehet tudni, hogy akár holnap kiknek a kezébe kerülnek az adatok, és törekednünk kell arra, hogy a visszaélések lehetőségeit is csökkentsük. Bővebben pl.: 'How is the NII like a prison ?' http://wex.www.media.mit.edu/people/wex/panoptic-paper.html
Részben a magánszféra védelmében kezdtek el sokan álnéven élni az Interneten. Vannak, akik valamilyen hálózati tevékenységüket folytatják nem valódi név alatt. Sokszor egy-egy funkció követeli ezt meg, például a postmaster@vala.hol, vagy a support@ceg.neve ilyen. Van úgy, hogy hogy valaki egy szerepet vállal/játszik a hálózaton, és ehhez egy fiktív nevet, címet használ - akárcsak a régi folyóiratban 'Okos Kata'. Az is előfordul, hogy azért van erre szükség, mert magánvéleményét akarja elmondani egy vállalat munkatársa. Vannak hálózati eszközök, amik éppen azt a célt szolgálják, hogy még a levél útját, eredetét is elrejtsék: anonymous remailerek. Lásd bővebben pl.: news:/alt.privacy.anon-server
Nyilvánvaló, hogy az eddig felsorolt esetekben pozitív szerepe van a névtelenségnek. Azonban ez is rejt veszélyt magában. Az álnevet (vagy akár csak azt, hogy csak elektronikusan érintkezünk), lehet provokációra, manipulálásra is használni.
Rendszer biztonságot ellenőrző/növelő eszközök
A hálózaton sok olyan eszköz áll rendelkezésre, ami segít abban, hogy csökkentsük a hálózati veszélyeket. Egy sor olyan program készült, ami arra való, hogy az operációs rendszerben, a hálózaton levő biztonsági lyukakat felderítse. Számos ilyen eszköz forráskódban elérhető, ingyen letölthető és használható. Néhány ilyen eszköz:
A program neve rosszindulatot sugall, de ez félrevezető. A SATAN (Security Administrator's Tool for Analyzing Networks) egy klasszikus, web böngészőből vezérelhető hálózati hibakereső. Lásd: http://www.fish.com/~zen/satan/satan.html
A Cops unix rendszereken képes felfedezni konfigurációs hibákat, biztonsági lyukakat. Shell scriptek gyűjteménye. Lásd: http://www.fish.com/cops/
A Titan egy viszonylag új unixos biztonságot ellenőrző és javító eszköz. Moduláris, konfigurálható és bővíthető. Az egyes modulok egy-egy biztonsági lyukat derítenek ki, és szüntetnek meg. Lásd: http://www.fish.com/titan/
Az elektronikus szemét elleni küzdelemben sok segítséget kaphatunk sorstársainktól a hálózaton.
Az RBL és az ORBS egy-egy állandóan válozó fekete lista szolgáltatás.
Levelező szerverek konfigurálhatók úgy, hogy a fekete listán levő helyekről
ne fogadjanak el levelet. Az RBL lista elsősorban spam forrásokat, az ORBS
pedig nyílt reléket tartalmaz.
Lásd:
http://maps.vix.com/rbl/ illetve
http://www.orbs.org
A spam ellenes törekvések gyűjtő web helye pl. http://www.cauce.org
Hálózati biztonságnak szentelt hálózati erőforrások
Számos web hely, hírcsoport, és levelezési lista segít az 'Internet klasszikus szellemének' megfelelően a hálózati biztonság dolgában. Kettőt említünk e helyen.
A legelterjedtebb hálózati szolgáltatás a WWW biztonságának növelését szolgálja a "World Wide Web Security FAQ" http://www.w3.org/Security/faq/www-security-faq.html Részletes, világos alapos munka. Aki biztonságos web szervert akar üzemeltetni annak ismernie kell.
Magyarországon évek óta működik a security-l lista a KFKI gépén, Kadlecsik Józsi gondozásában. Érdemes rá feliratkozni. A listáról: http://www.kfki.hu/mailman/listinfo/security-l
Kreáljunk AUP-t, tartsuk és tartassuk be!
Visszatérő gondolat a security-l listán: igaz ugyan, hogy X.Y. a hálózati biztonságot fenyegető módon viselkedett, de nincs eszközünk rá, hogy ebben megakadályozzuk. Nem hiszem, hogy ez szükségszerű. Amikor egy felhasználó egy hálózatra csatlakozik, azonosítót kap akkor sok helyen alá szoktak vele iratni egy szerződést, vagy legalább egy jószándéknyilatkozatot. Ez az a pont, ahol egy ilyesfajta mondatot be kell venni: 'A hálózat elfogadható használatának szabályait (AUP, Accaptable Use Policy) ismerem és magamra nézve kötelezőnek tartom. Tudomásul veszem, hogy az AUP be nem tartása a szolgáltatásból való kizárást vonhatja maga után.' A Hungarnet AUP-je mindenkinek jó kiindulási pont lehet: http://www.hungarnet.hu/magyar/halszolg/aup.html
Sose higyjük, hogy tökéletes biztonságban vagyunk!
Ha a teszt nem mutat ki hibát, abból nem következik, hogy nincs hiba. Nem elég időnként ellenőrizni a rendszereket. Állandóan figyelni kell, és készen kell állni a beavatkozásra.
Éljünk a a hálózaton ingyen rendelkezésre álló eszközökkel
Nem feltétlenül biztonságosabb valami, mert drágább, vagy egy nagy tengerentúli vállalat terméke. Többet használhat egy-egy ingyen rendelkezésre álló eszköz, és persze legfőképpen a józan ész, és odafigyelés. Egy-egy új hibát, nehézséget sokszor gyorsabban, rugalmasabban ki lehet javítani olyan eszköznél, aminek forráskódja is rendelkezésre áll, és aminek javításában a hálózati fórumokon segítséget kapunk. Figyeljük a fent említettekhez hasonló fórumok írásait, a megjelenő eszközöket és éljünk ezekkel!
Miben tér el az elektronikus és a 'többi' biztonsági kérdés ?
Ha a sufniba bejöttek, a postai levelünket felbontották, annak rendszerint nyoma marad. Elektronikus behatolásnak, lehallgatásnak rendszerint nincs nyoma. Ilyen módon az elektronikus betörő sokkal veszélyesebb lehet.
Aki betör a sufniba az általában azonnal fel akarja használni a lopott holmit. Elektronikus betörő talán csak évek múlva él vissza a megszerzett információval. Talán nem is azok, akik megszerezték. Ebből a szempontból is veszélyesebb az elektronikus visszaélés.
Egy példa a történelmi közelmúltból
A 70-es években jelent meg a Valóság című folyóiratban, később pedig a Diagnózisok c. kötetben Hankiss Elemér "Közösségek válsága és hiánya" című tanulmánya. Ebben arról ír, hogy a század első felében még virágzó önkéntes, szabadon szerveződő társulásokat a kommunista időkben felőrölték, megszűntették. A pókhálószerű 'lenti' szövedéket fürt szerű kapcsolatokkal váltották fel, ahol minden fokon mindenki csak a főnökével kommunikál. Az ilyen kapcsolatrendszer kedvez a hatalmi visszaélésnek, az egyént pedig elidegeníti, kiszolgáltatottá teszi. A két kapcsolatrendszert szemléltette technikai példával is. A 'szövedék' sűrű telefonhálózatnak felel meg, a 'fürt' pedig a műholdas információtovábbításnak. Hankiss szerint nem véletlen, hogy a szocialista tábor olyan erős műholdak tekintetében, de olyan elmaradott a lakossági telefonhálózat terén. A klasszikus Internet a 'szövedéket' erősíti. Manapság egyre többet használják fürtszerű kommunikáció, és kapcsolatrendszer eszközeként. Rajtunk is múlik, hogy hol, mikor melyik jellemzője domborodik ki.